Hallo Community,
ich bitte Euch um Hilfe bei folgendem Problem:da wir an einem bestimmten Postfach ein erhöhtes SPAM Vorkommen haben und das mit der Email Protection nicht geregelt bekommen, bin ich dazu übergegangen, die Sender anhand der IP und später als Netz in der Network Protection zu sperren.
Meine Regel schaut wie folgt aus:
Die zwei WAN Adressen sind gleichzeitig unsere MX
Die zwei /24er Netze sind zwei von denen, wo die meisten Sender her kommen.
Schau ich nun im SMTP Protokoll, dann sehe ich, das die 103.186.116.237 zugestellt hat, also die Pakete nicht verworfen wurden.
Bitte, wo ist mein Denkfehler? Vielleicht sehe ich vor lauter Bäume den Wald nicht mehr.
Viele Grüße,
Peter
Halo DaPedda ,Vielen Dank, dass Sie sich an die Community gewandt haben. Ich würde vorschlagen, die Ländersperre zu verwenden, da die folgenden IPs zu Malaysia gehören.
Thanks & Regards,_______________________________________________________________
Vivek Jagad | Technical Account Manager 3 | Cyber Security Evolved
Sophos Community | Product Documentation | Sophos Techvids | SMSIf a post solves your question please use the 'Verify Answer' button.
Hallo Vivek,das habe ich tatsächlich nach diesem Post auch gemacht. Es mag für die kleinen Länder funktionieren, wo wir keine Kundenbeziehungen haben. Aber wenn Österreichische Versender auftreten, habe ich ein Problem.Nehmen wir mal 176.96.103.36, versendet aus AT SPAM. Gehört zu AS8649 ZeXoTeK IT-Services GmbH mit 176.96.96.0/19Dieses Netz möchte ich sperren. Den Eintrag dazu findet man im Screenshot. Die Regel greift aber nicht und ich verstehe nicht, warum. Das Paket müsste doch schon an die externe Karte abgewiesen werden. Aber ich habe es auch schon mal mit unseren internen Netzen versucht, ging auch nicht.
Nun, aus der Geoip-Datenbank kann ich das Netzwerk sehen und die IP gehört zu - Österreich, Ausgabe unten:# geoiplookup 176.96.103.36GeoIP Country Edition: AT, Austria # geoiplookup 176.96.96.0GeoIP Country Edition: AT, Austria
Ich sehe im Screenshot, dass Sie eine Ablehnung/Sperre erstellt haben.Können Sie in den Paketfilter.logs nachsehen und die IP/das Netzwerk filtern, um zu sehen, ob der Datenverkehr zugelassen oder blockiert wird?
B. - tail -f /var/log/packetfilter.log | grep <src_IP>
Nach der IP zu suchen war erfolglos. Ich habe aber im Weblog nach fwrule="7" gesucht und wurde heute fündig: eine IP 51.158.145.144 (passt zum Netzwerk im Screenshot) mit dem einem Destination Port 5070 / app=445Sonst nix. weder heute, gestern oder die ganze Woche. Dafür haben aber heute wieder zwei Sender zugestellt, aus den Netzen 176.96.96.0/19 und 104.148.89.0/24. Beide tauchen im packetfilter.log nicht aufIch frage mich langsam, ob die Netzwerkdefinition von mir richtig angelegt worden sind.
Edit: ein Kollege hat einen Tip gegeben: zu Hause hat er eine UTM Home Edition. Dort sollten IoT Geräte nicht nach draussen. Allerdings hatte er den Webproxy am laufen, so das die Regeln nicht gegriffen haben. Hat er den Proxy ausgeschaltet, funktionierten die Regeln. Ist es möglich, das das Modul Email Protection dazwischen funkt? Denn wie oben beschrieben, scheint die Regel für sich alleine ja zu funktionieren.
Lösung gefunden: DNAT auf BlackholeSiehe Best way to blacklist a (potentially large) number of IPs in SMTP profile - Mail Protection: SMTP, POP3, Antispam and Antivirus - UTM Firewall - Sophos Community und Rulz - Recommended Reads - UTM Firewall - Sophos Community